"Una di quelle belle grosse": è sicuramente di questa famiglia la falla riportata da qualche giorno dal gruppo di sicurezza Computer Terrorism. 
L'azienda ha scoperto infatti un modo per sfruttare una vecchia falla di sicurezza di Internet Explorer non ancora corretta per eseguire compromettere un sistema Windows con una semplice pagina web.
Nessun programma da cliccare, nessun avviso di sicurezza o falso messaggio della banca: è sufficiente visualizzare una pagina web in Internet Explorer per ritrovarsi con la macchina alla completa mercé di un utente ostile. E con essa anche numeri di carte di credito eventualmente utilizzate, documenti personali e quant'altro.
Non sembra invece possibile sfruttare la falla utilizzando una e-mail in formato HTML.
La pericolosità della falla è comunque davvero altissima: Secunia l'ha etichettata "Extremely critical", il massimo gradino di allerta. Una valutazione che sicuramente condividiamo.
In attesa di una patch da Microsoft (che probabilmente verrà rilasciata contestualmente agli aggiornamenti di dicembre) è importantissimo innalzare il livello di sicurezza di Internet Explorer, disattivando l'esecuzione automatica degli script: per farlo è sufficiente cliccare su Start -> Pannello di Controllo -> Opzioni Internet -> Protezione, da qui selezionare l'icona Internet e portare quindi l'indicatore su Alto. È bene precisare però che a seguito di questa modifica alcune pagine web potrebbero non funzionare più correttamente: lo stesso menu di navigazione di MegaLab.it ad esempio non verrà più visualizzato, e come esso numerosi altri siti diventano di fatto inutilizzabili.
Le nostre prove
Sono vulnerabili alla debolezza tutte le versioni di Internet Explorer, ad eccezione di quelle monte su Windows Server 2003. Computer Terrorism ha rilasciato a questa pagina un test per verificare se il proprio navigatore è vulnerabile.
Su un sistema di prova, con Windows XP aggiornato al Service Pack 2 e tutti gli ultimi hotfix e patch, il test ha funzionato: Internet Explorer crasha, e viene lanciato il programma "calcolatrice di Windows".
Si è altresì rivelato valido anche il consiglio di innalzare il livello di sicurezza di Internet Explorer: in questo modo il test fallisce, ma come già accennato la navigazione diventa pressoché impossibile su moltissimi siti.
Sebbene non fosse esplicitamente trattato nel bollettino diramato da Computer Terrorist, abbiamo visitato la pagina di testing anche con Firefox (versione 1.5 RC3 ed 1.0.7) ed Opera (sia con la vetusta edizione 7 che con la nuova 8).
Firefox purtroppo crasha impunemente: il processo Firefox.exe si blocca, ed è necessario ucciderlo da task manager. È una seccatura, ma la si risolve abbastanza agevolmente, e non è necessario il reboot completo del sistema. Mozilla Foundation è già al lavoro per risolvere il problema, ma per chi non volesse attendere è sufficiente installare l'estensione NoScript per essere protetti. Naturalmente in questo caso valgono le stesse considerazioni sulla limitata usabilità del web con lo scripting disattivato viste per Internet Explorer.
Opera si comporta decisamente meglio: entrambe le versioni, sia 7 che 8, passano indenni il test senza causare alcun problema.
Lo scenario è lo stesso anche sotto Linux (Fedora Core 4, nella nostra macchina di test): anche in questo caso Firefox non sopravvive, mentre Opera non ha problemi di sorta.
Ad ogni modo, al contrario di Internet Explorer la falla sotto Firefox non permette (almeno per il momento) di eseguire codice da remoto.
MegaLab.it rispetta la tua privacy. Per esercitare i tuoi diritti scrivi a: privacy@megalab.it .
Copyright 2008 MegaLab.it - Tutti i diritti sono riservati